データ主権の概要

データ主権とは、データの発生元および地理的な所在地である国/地域内で保管されるデータに適用される法律および政府のポリシーに関する概念です。100 を超える国や地域で、データ主権に関連するなんらかの法律が施行され、データの保管や移転についての制限が設けられています。もっとも有名なものの 1 つは、EU の一般データ保護規則（GDPR）でしょう。GDPR は EU 市民の個人情報の取り扱いについて、データを収集する組織の所在する国/地域を問わず適用される要件を定めています。

こうした法規制は幅広い地域に適用され、国/地域や司法管轄区域（州や省など）ごとに内容が異なるため、複雑さが増しています。データ プライバシー関連の法律は、単にデータに留まらず、メタデータ、会計やサポートに関するデータ、バックアップ データまでを対象としていることがよくあります。これらの法律では、データを保管または使用する場所や方法、またデータにアクセスできるユーザーが規制される場合があり、たとえば域内の市民以外は、行政機関のデータへのアクセスを禁じられることがあります。

VMware は、お客様が急速に増加し変化しているデータ プライバシー法に準拠できるようサポートし、データ主権、データ レジデンシー、データ アクセス、司法管轄権への対応管理によって、非常に機密性の高いデータを安全に管理できるように支援します。そのため組織は、域外の組織やリソースとの依存関係なしに、メタデータやバックアップを含むすべてのデータを当該の司法管轄区域内に保管する各国/地域の VMware Cloud Verified プロバイダーを利用することで、外国当局によるデータへのアクセスを防止しつつ、データのパワーを活用することができます。ソブリンクラウドでは、データがプロバイダーのコア ネットワークおよびインターネットから隔離されるため、データの所有者が常にデータを制御できます。データセンターの運用は、審査に合格した主権を持つ市民が担当するため、主権に関する規制へのコンプライアンスも確保できます。VMware のソリューションを利用することで、自社のデータをコントロールしながら、データ プライバシーやデータ主権に関する法律に準拠することができます。

データ主権とデータ プライバシーに関する規制を順守するための第一歩は、自社が扱うデータの内容とその所在地を把握すること、そして各国/地域のデータ レジデンシー、プライバシー、主権に関するポリシーを理解することです。そのためには、自社のデータを的確に分類することが必要になります。

ソブリンクラウドは、組織のデータ レジデンシーと主権を重視したクラウド コンピューティングの一種です。すなわちデータは、それが収集された国のプライバシー法が適用される地理的場所で保管および処理され、それによってプライバシー法やデータ保護規制への準拠性が保証されます。このような国/地域の規制や法律は、データの保管場所から越境データ フローに至るまでのあらゆる事項を規定しています。

お客様が求める保証を提供するためには、ソブリンクラウドに以下の 5 つの特性を持たせる必要があります。

• データ主権と司法管轄権への対応管理
• データ アクセスとデータ完全性
• データ セキュリティとコンプライアンス
• データの独立性と可搬性
• データのイノベーションと分析
  

ソブリンクラウドが安全なのは、構築、カスタマイズ、維持管理がすべて現地で行われ、現地の法律と規制を順守する認定済みのプラットフォームで運用されるからです。VMware Sovereign Cloud は、組織が各国/地域のクラウド プロバイダーと連携して、完全に当該の司法管轄区域内のみを拠点とする、VMware のフレームワークに基づくソブリンクラウドを構築して、データ プライバシーに関する法規制を順守できるよう支援します。サービスを提供する VMware Cloud Verified パートナーや Sovereign Cloud Initiative 認定パートナーには、セキュリティ審査を受け（必要な場合）、現地の法律に関する専門知識を備えた現地スタッフが在籍しており、ソブリンクラウド環境のコンプライアンス確保を担当します。VMware パートナーには、20 項目の自己審査プロセスの一環として、必要なセキュリティ コントロールを導入していることが求められます。これらのパートナー/プロバイダーは、データを常に当該の国/地域および業界の規制に準拠した状態に維持するために、コンプライアンスの継続的な監視、レポート作成、修正を行います。

データの管理性を維持するには、ぜひ各国/地域でホストされる VMware のソブリンクラウドを利用して、機密データのセキュリティとコンプライアンスを確保することをご検討ください。ソブリンクラウドは、データ プライバシー法への違反につながる可能性のある外国当局による強制開示を防止し、機密データやメタデータの漏えいリスクを低減します。

クラウドの管理は主権を持つ市民が担当するため、データ主権に関する厳格なルールを順守できます。ソブリンクラウドでは、レジデント ドメインはプロバイダーのコア ネットワークやインターネットから隔離されます。管理プレーンと制御プレーンは完全にソブリンクラウド内でホストされ、域外の組織やリソースとは依存関係がないため、主権の確保された境界外にデータが移転されることはありません。バックアップ、メタデータ、会計やサポートに関するデータなど、いかなるデータも当該の国/地域外で保管されることはありません。

ソブリンクラウドを利用すれば、暗号化キーを自社で管理してクラウド プロバイダーがデータにアクセスできないようにする選択もできるため、最高レベルのセキュリティを実現できます。さらにソブリンクラウドでは、データ プライバシーとデータ主権を保護するために、商用のクラウドでは提供されない優れた制御機能やサービスも用意されています。

VMware Sovereign Cloud initiative は、データ プライバシー関連の法律が急速に数を増やしながら常に変化している現状において、それらの法律への準拠に取り組むお客様を支援する、全世界のクラウド プロバイダー パートナー様によって構成されています。ソブリンクラウド プロバイダーは、データ主権、データ レジデンシー、データ アクセス、管轄区域、制御などに関する規制を確実に順守することで、お客様の機密データをセキュアに管理します。そのため組織ではデータ プライバシー関連の規制を順守しつつ、データのパワーを活用することが可能になります。

VMware Sovereign Cloud のパートナー各社は、クラウド プロバイダー向け VMware Validated Design（VVD）に基づくアーキテクチャを利用して Cloud Verified サービスを提供しているため、コンプライアンスの確保されたクラウドをすばやく効率的に低コストで設計、構築、保護し、TCO を削減することができます。VMware Sovereign Cloud プロバイダーは、指針となる原則、ベスト プラクティス、技術アーキテクチャ要件のフレームワークに照らした自己審査を行い、そのクラウドが運用される特定の管轄地域で、関連する行政機関や営利団体が義務付けるデータ主権要件に準拠したクラウドサービスを提供する必要があります。このフレームワークの基準を満たす VMware Cloud Provider は、招待により当イニシアチブに参加することができます。

ソブリンクラウドを効果的に導入した企業は、次のようなメリットを得ることができます。

• 外国当局によるデータへのアクセスを防止できる
• すべてのデータを確実に自社の司法管轄区域内に保管できる
• データ プライバシーとデータ主権を確保できる
• プロバイダーのコア ネットワークやインターネットからデータを隔離できる
• データ所有者によるデータの管理とアクセスを維持できる
• 主権に関する規制を確実に順守できる
• データ分類ツールを活用して、どの規制が適用されるかを判断できる